Пост Лукацкого

19 декабря 2022 09:11

Я уже писал про участие в семинаре Gartner, где они представляли свои прогнозы по ИБ на 2023+ годы, но забыл написать про них. И так, 8 тенденций:
📌 рост влияния темы приватности
📌 консолидация сервисов по защите web и периметра в единой платформе
📌 проекты Zero Trust будут терпеть часто неудачу
📌 при взаимодействии с третьими лицами ИБ будет выходить на первый план (тут и защитв от атак на цепочку поставок, и взаимоотношения с поставщиками и т.п.)
📌 принятие нормативки по борьбе с шифровальщиками
📌 атаки на АСУ ТП
📌 киберустойчивость войдет в повестку большинства гендиректоров
📌 многие компании создатут комитеты по ИБ (или замгендиров по ИБ), а также включат в систему оценку руководителей вопросы кибербеза

Пост Лукацкого

18 декабря 2022 14:25

Очередной нюанс в обфускации URL. Последовательность %e2%80%8b значит ничего, то есть символ с нулевой длиной. Поэтому ptsecurity.com и pt%e2%80%8bsecurity.com теми же браузерами рассматриваются как идентичные. Интересно, как средства защиты на такую конструкцию реагируют?

Пост Лукацкого

18 декабря 2022 06:25

У венчурных инвесторов на загнивающем нынче Западе в моде решения Remote Browser Isolation. По крайней мере в конце 2022-го года интерес к ним вырос и число инвестиционных раундов в такие стартапы возросло

Пост Лукацкого

17 декабря 2022 16:14

📨 В Telegram набирает популярность новая фишинговая рассылка

Пользователи получают сообщение от своих контактов якобы с подарком подписки Telegram Premium. При переходе по ссылке жертва попадает в бот, где нужно ввести код, который придет от Telegram.

При передаче этого кода боту, злоумышленнику удается залогиниться в аккаунт пользователя, после чего он отправляет аналогичные сообщения его контактам и тут же удаляет их для атакуемого. Мошенникам получается получить доступ к тем аккаунтам, у которых не включена двухфакторная аутентификация.

Что делать, если вы передали код боту?

1. Зайти в настройки Telegram.
2. Устройства -> Завершить другие сеансы.
3. Сменить пароль.
4. Установить двухфакторную аутентификацию.

Пост Лукацкого

17 декабря 2022 07:09

Виктора Бута вернули в Россию в результате обмена на американскую баскетболистку Бриттни Грайнер. США планировали также выторговать у Москвы своего шпиона Сергея Михайлова. Но этого не произошло. Обвиняемый в госизмене бывший руководитель ЦИБ ФСБ РФ остался отбывать срок в российской тюрьме.

Удивительно, что эта ошеломляющая новость осталась незамеченной. Американцы редко вступаются за своих агентов, которых изобличали в СССР и России. Делали это лишь тогда, когда агент был для них по-настоящему ценным, то есть его предательская деятельность причинила России максимальный вред.
 
Но кто же такой полковник ФСБ Михайлов и почему американцы вдруг захотели его обменять? Начальник 2 управления Центра информационной безопасности ФСБ РФ Михайлов начал сотрудничать с ЦРУ США примерно в 2009-2010 годах. В 2016-м его задержали, а в 2019 году осудили на 22 года лишения свободы за государственную измену.

За 6 лет работы на ЦРУ Михайлов не только создал глобальный миф о «русских хакерах», он по заданию американцев методично разрушал изнутри российские IT-компании и лично отправлял в тюрьму лиц, способных обеспечить кибербезопасность нашей страны.
 
Именно Михайлов в 2010-2011 годах уничтожил российский платежный интернет-сервис Chronopay Павла Врублевского, который вполне мог конкурировать с американскими платежными интернет-системами типа PayPal. 

К лету 2016 года Михайлов добился задержания в России и последующего осуждения хакерской группировки Lurk Константина Козловского, которая взломала серверы демократической партии США и электронную почту Хиллари Клинтон. 

Параллельно с этим агент ЦРУ Михайлов завербовал некоторых сотрудников «Лаборатории Касперского» (одного из них — Руслана Стоянова — в итоге осудили вместе с Михайловым). Он же организовывал перенаправление федеральных инвестиций в те компании IT-отрасли, которые в них не нуждались, например, в BI.ZONE Сбербанка. 

Поражает, что сведения о действиях одного из руководителей ЦИБ ФСБ против интересов РФ первыми стали сообщать лица из кибербезопасности. Только после многочисленных обращений УСБ ФСБ заинтересовалось деятельностью Михайлова. Многие из этих лиц стали свидетелями по делу Михайлова о госизмене — Врублевский, Козловский и Сачков из GROUP-IB.
 
С их помощью УСБ ФСБ раскрыло шпионскую сеть. Но даже несмотря на это, американцам удалось дискредитировать каждого свидетеля обвинения: Врублевский и Козловский были осуждены, а в прошлом году был арестован Сачков. Создается впечатление, что даже после раскрытия Михайлова и его подельников американцам удается последовательно добивать российский кибербез.

В этой связи важным становится вопрос — все ли агенты Михайлова, в том числе и в ЦИБе, были изобличены? Поскольку уголовное дело против Сачкова возбуждено ФСБ, не удивимся, что оно сформулировано на основании показаний Михайлова.

Все это объясняет заботу США о Михайлове — именно он в интересах США причинил максимальный ущерб российскому цифровому суверенитету. После ареста Сачкова уже не было смысла прятать шпиона, в связи с чем и встал вопрос о его обмене. Свое задание агент ЦРУ Михайлов выполнил.

Пост Лукацкого

16 декабря 2022 20:22

Тысяча чертей, сударь! 😈 Не вам учить меня манерам! Предупреждаю вас! (с) д’Артаньян

Пост Лукацкого

16 декабря 2022 14:35

Поговорили про КИИфикацию! Все никак не закопаем стюардессу ;-)

Пост Лукацкого

16 декабря 2022 11:20

https://www.mitre.org/sites/default/files/2022-11/pr-2022-3034-medical-device-cybersecurity-regional-preparedness-response-playbook.pdf

Пост Лукацкого

16 декабря 2022 08:01

АНБ выпустило отчет о своей деятельности; точнее ее публичной части. Верю, когда-нибудь настанет время, когда и наши регуляторы смогу выпускать такие же обзоры; тем более, что каждому есть чем похвастаться - кому-то больше, кому-то меньше, но есть 😌 А пока приходится сводить все за них ☕️

Пост Лукацкого

15 декабря 2022 21:07

Шел 2022-й год… WannaCry продолжал входить в десятку самых-самых, в том числе и в солидных российских организациях 🤬

Пост Лукацкого

15 декабря 2022 14:46

Без цензуры и заранее согласованных вопросов 🔥 Лукацкий (Positive Technologies), Гадарь (Тинькофф Банк), Голованов (Лаборатория Касперского), Горчаков (VK) и Куликов (СДЭК) 22 декабря в 11:00 обсудят неформальные итоги 2022 года SecLabNews">в прямом эфире Секлаб News.

Как на рынок повлиял массовый уход иностранных вендоров? Кому нужны утечки баз никому ненужных данных? Взломы российских ИБ-компаний: кого полюбят следующим? Выгорание или подгорание у специалистов ИБ? Что нас ждет в год нетолерантного кролика?

🤔 Хотите задать вопрос, который действительно вас волнует? Пишите в комментариях. Автору лучше вопроса подарим брендированную толстовку.

Пост Лукацкого

15 декабря 2022 10:14

Ну и немного ссылок для тех, кто решит пересмотреть свои подходы к оценке защищенности удаленного доступа:
📌 Результаты опроса "Как устроена удаленная работа в России и странах СНГ" от Positive Technologies
📌Обзор рекомендаций по безопасной удаленной работе для предприятий критической инфраструктуры и не только от ЛК
📌 Требования ФСТЭК к средствам обеспечения безопасной дистанционной работы
📌 Рекомендации ФСТЭК по обеспечению безопасности объектов КИИ при реализации дистанционного режима работы
📌 Меры безопасной организации удаленной работы от НКЦКИ.
📌 Моя серия из четырех статей про безопасность удаленки, написанная еще во время COVID-19 (1, 2, 3 и 4).

Пост Лукацкого

15 декабря 2022 05:40

Депутаты решили вновь заняться самым важным в текущий момент делом и тем, что они умеют лучше всего - что-нибудь позапрещать. А именно, они решили запретить удаленный доступ для уехавших заграницу россиян. Конечно же, не всем! Пока так и не ясно, кого коснутся запреты, - называются чиновники, работники госкомпаний и специалисты по ИБ; последних иногда сопровождает приписка про работу с секретной информацией, иногда нет. С чиновниками все понятно - по закону и так запрещено иметь части информационных систем госорганов за пределами страны, а удаленное рабочее место - это часть такой системы. Но вот со специалистами по ИБ, конечно, пока непонятно.

Запретят всем работникам или только, имеющим допуски к гостайне? Запретят везде или только в недружественных странах? Запретят всем организациям или только, например, субъектам КИИ? Запретят навсегда или во время отпуска или даже командировки в Беларусь (тоже иностранное государство, кстати) будет можно? Вопросов пока больше чем ответов. Я после начала частичной мобилизации хотел провести опрос по тому, что можно поручить "ох, уехавшим" айтишникам и ибшникам, но не успел. Депутаты меня опередили, посчитав, что нельзя ничего 🤬

Меня, безусловно, интересует механизм реализации законопроекта в случае его принятия, а судя по комментариям, его примут обе палаты не задумываясь (все для защиты чувств людей, "испытывающих ненависть к бежавшим, которых считают трусами"). Как депутаты вообще видят такую блокировку? Спустят сверху циркуляр "не пущать"? Или на погранконтроле будут снимать IP-адреса у всех уезжающих, вносить их в базу данных и передавать в ТСПУ для блокировки? А может просто заблокируют все внешние соединения? Вообще, запрещать удаленку - это как запрещать депутатам иметь собственность за границей. Запретить можно - проконтролировать нет 🤷‍♂️

ЗЫ. А Минцифры опять выступило хорошо - заявило, что они против тотального запрета удаленки. Посмотрим, прислушаются ли к профильному ведомству народные избранники?

Пост Лукацкого

14 декабря 2022 14:40

Мне кажется, наших чиновников, исправит только могила 🙁 Госорган рассылает требование заполнить форму с персданными на врачей. На Google.Docs!!! Полный фарш персональных данных, который… очень быстро попадает в руки хакеров сопредельного государства.

И вот как это может быть в текущих условиях? И кто понесет за это ответственность? И кто должен на это реагировать?

Пост Лукацкого

13 декабря 2022 19:35

Криптографии с младенчества и в игровой форме ;-)

Пост Лукацкого

19 декабря 2022 05:40

Исследователи создали модель ИИ, которая не просто генерит фейковые изображения, но и генерит их в неподобающем виде (просмотр порно, секс с кем-то, танцы в церкви, фото на войне, фото из тюрьмы и т.п.). Но вопрос даже не в том, что машинное обучение такое умеет (это как раз не так и сложно), а в том, кто должен заниматься данной угрозой с точки зрения ее нейтрализации и купирования последствий? Может быть ИБ?

Пост Лукацкого

18 декабря 2022 10:25

Хакеры не будут ждать, когда ты закончишь патчеваться!

Пост Лукацкого

17 декабря 2022 19:39

Утащил у Татьяны инфографику по российской ИБ на основе цифр в разные периоды 2022-го года

Пост Лукацкого

17 декабря 2022 11:13

Было время, читатели задавали интересные вопросы ;-)

Пост Лукацкого

17 декабря 2022 07:09

Всегда удивляло, откуда что берется. Вроде давно в индустрии, но никогда не сталкивался с негативным влиянием Сергея на российский кибербез да и, честно говоря, вообще не видел особого влияния ЦИБа на отечественный рынок ИБ (хотя воздействие на отдельных игроков и допускаю). Но вот эта идея, что Михайлов прям держал под собой все российские ИБ-компании, продвигалась много лет и до сих пор продвигается почему-то 🤔

Пост Лукацкого

16 декабря 2022 17:40

Попробовал представить и не смог, чтобы АНБ (а я был в их сувенирном магазине) выпустило мерч с надписью «Добро пожаловать в клуб любитетелей отечественных СЗИ» и иллюстрацией из «Зеленой мили», когда Джона Коффи вводят в кандалах в американскую тюрьму 😂

Чувство юмора у регулятора - это прям хорошо. Спасибо коллегам, подарившим мне эту милоту 💪

ЗЫ. Это не китайская подделка, не самопал и не "маскировка под" - поставка напрямую из мастерских НКЦКИ!

Пост Лукацкого

16 декабря 2022 11:20

И облегченная версия - https://www.mitre.org/sites/default/files/2022-11/pr-2022-3616-medical-device-cybersecurity-regional-preparedness-response-companion-guide.pdf

Пост Лукацкого

16 декабря 2022 11:20

В дополнение к прошлогоднему руководству по моделированию угроз для медицинских устройств, MITRE выпустила руководство по реагированию на инциденты, связанные с медицинскими устройствами.

Пост Лукацкого

16 декабря 2022 05:40

В продолжение поста про WannaCry небольшая рекомендация. Проверьте (сами или спросите вендора), а ваши средства защиты ловят WannaCry в данный момент? А то у наших вендоров (антивирусов и МСЭ) есть особенность отключать обнаружение «старых» атак и сигнатур. И получается, что на бумаге оно ловит, а в реальности нет 🤔

Пост Лукацкого

15 декабря 2022 17:40

Отличный способ выбрать случайный пароль - использовать супы из букв латинского алфавита. Зачерпнул ложкой… и вот случайный набор символов, который за пароль можно выдать.

Пост Лукацкого

15 декабря 2022 13:15

Занимательная арифметика:
🤔 На конец 2020 года в ЕБС данные 160 тысяч граждан
🤔 В мае 2021-го - 200 тысяч граждан
🤔 В мае 2022-го - 236 тысяч граждан
🤔 В декабре 2022-го - 70 миллионов граждан сдали свою биометрию по версии чиновников.

Что за магия произошла между маем и декабрем 2022-го года? Только не надо говорить, что это за счет присоединенных территорий…

Пост Лукацкого

15 декабря 2022 07:50

Но, раз пошла такая дискуссия, то хочется вспомнить, что разговоры о безопасности удаленного доступа ведутся давно и в целом уже давно найдено немало решений по эффективной защите такого доступа.

Я 18 лет отработал в компании в режиме удаленки и вся стратегия ИБ Cisco строилась по принципу - "один в поле воин", то есть "ноутбук в Интернете может быть защищен независимо от того, находится он внутри корпоративной сети или нет". Более того, у нас была принята концепция Trusted Device еще до того, как Zero Trust стал модным. И я уже приводил простейший тест на проверку защищенности своего мобильного рабочего места - если ты его выставляешь в Интернет и у тебя начинается "жим-жим", то с безопасностью удаленки у тебя все не очень.

И дело тут не в наличии VPN-клиента на рабочем месте и защите канала от удаленного устройства (в Cisco последние годы вообще распространялся удаленный доступ к ресурсам компании без VPN, с помощью Zero Trust). Защита строилась на базе множества технологий. Тут и многофакторная аутентификация с ML, отслеживающая непривычные местоположения и время доступа к корпоративным ресурсам. Тут и контроль поведения с помощью решений NDR (NTA/NAD). Тут и EDR на оконечных устройствах. Тут и UEBA при работе с серверными приложениями. И много чего еще. То есть даже при удаленке можно было с высокой степенью уверенности сказать, работает в данный момент тот самый работник или под его учеткой маскируется злоумышленник.

У нас же пошли по пути наименьшего сопротивления - вместо того, чтобы научиться контролировать и защищать решили блокировать и запрещать, выдавая это за один из вариантов мотивации россиян вернуться обратно и защиту чувств неуехавших... Не знаю, мотивирует ли это кого-то вернуться (что-то мне подсказывает, что нет), но вот число отказников от российского гражданства точно возрастет. Хотя может этого и добиваются авторы столь "востребованного" законопроекта?..

Пост Лукацкого

14 декабря 2022 17:40

Приходит печальная дочь к отцу ИБшнику и жалуется:
- Папа, у нас новогодний праздник в садике, а мне надеть нечего. Какой костюм мне купить/придумать?

Папа, не будь дураком, и говорит:
- Давай тебе костюм УТЕЧКИ ПДН придумаем!
- Это как?, - удивленно спрашивает дочь.
- Все просто, - отвечает добрый папа. - Ты приходишь вся такая расфуфыренная и делаешь вид, как будто ты в шоколаде, а когда тебя спрашивают про твой костюм, закрываешь лицо ладошками и говоришь, что тебя нет!

Пост Лукацкого

14 декабря 2022 07:09

Решил вдруг измерить свою писучесть 🧑‍💻. 2858 постов в блоге за 15 лет 🧑‍🎓 (и 17800 комментариев к ним), 6750 публикаций в Telegram за 5 лет 🤓. 30500 твитов за 11 лет 💪. 4+2 единоличных книг 🧑‍🎓 и 3 в соавторстве. Число статей - за 200, но их подсчитать уже сложно - я в последний раз их считал несколько лет назад, после отправки на спецпроверку при подаче документов на американскую визу ✍️. Но визу не дали и стимула обновлять список статей больше нет.

Написано немало, но сколько еще всего впереди...

Пост Лукацкого

13 декабря 2022 16:18

Почему бы вместо метрики «Число устраненных критических уязвимостей» или «Время устранения критических уязвимостей» не ввести другую - SLA, определяющий, как много уязвимостей определенного уровня пропатчено в установленное временное окно?